CAPITULO I LA GESTIÓN DE REDES

Capítulo I. LA GESTION DE REDES.
CAPITULO I
LA GESTIÓN DE REDES
INTRODUCCIÓN
El capítulo presenta la gestión de redes y las redes de área local Virtuales VLAN (Virtual Local
Area Network). Con respecto a la gestión de redes se analizan a detalle las dos grandes
categorías de división: La monitorización y el control. Así también, las principales funciones de la
gestión de red. Con respecto a las VLAN’s se incursiona en la definición, configuraciones,
ventajas y desventajas. Este capitulo trasciende en los fundamentos y da la pauta para
encaminarse al desarrollo de de la Herramienta de Gestión de Redes Virtuales.
1.- LA GESTIÓN DE REDES.
La gestión de red [1, 4] es el conjunto de tareas de monitorización, configuración, información y
control, necesarias para operar de manera efectiva una red. Estas tareas pueden estar
distribuidas sobre diferentes nodos de la red, lo cual puede requerir repetidas acciones de
recogida de datos y su análisis, cada vez que sucede un nuevo evento en la red.
Las redes son cada vez más importantes en empresas y organizaciones tomando en
consideración:
‣ La Tendencia a redes más grandes, más complejas, más heterogéneas,...
‣ La red y las aplicaciones distribuidas se hacen imprescindibles.
‣ Los costos de gestión de la red aumentan.
‣ La gestión de la red no se puede hacer a mano:
‣ Se requieren herramientas de gestión de red automatizadas.
‣ Herramientas estándar que funcionen sobre equipos de distintos tipos y distintos fabricantes:
Estaciones de usuario, conmutadores, ruteadores, equipos de telecomunicación.
Las funciones de gestión de red se pueden agrupar en dos grandes categorías [1, 3, 4]:
‣ Monitorización: Funciones de “lectura”.
‣ Observar y analizar el estado y comportamiento de la
‣ configuración de red y sus componentes.
‣ Abarca: prestaciones, fallos y costes.
‣ Control: Funciones de “escritura”.
‣ Alterar parámetros de los componentes de la red
‣ Abarca: configuración y seguridad.
Todas las áreas funcionales abarcan monitorización y control, y cumplen tres objetivos
fundamentales:
‣ Identificación de la información: identificar la información a monitorizar.
‣ Diseño de mecanismos de monitorización: como obtener esa información.
‣ Utilización de la información: para qué utilizar la información obtenida dentro de las
distintas áreas funcionales de gestión de red.
17

Capítulo I. LA GESTION DE REDES.
La información a monitorizar puede encontrase en una de las siguientes categorías:
1.- Estática: Caracteriza la configuración actual de la red y de sus elementos (p.e. El número de
puertos de un router). Esta información cambiará con muy poca frecuencia.
2.- Dinámica: Información relacionada con eventos en la red (p.e. La transmisión de un paquete
por la red)
3.- Estadística: Información que puede ser derivada de la información dinámica (p.e. El número
medio de paquetes transmitidos por unidad de tiempo por un sistema final).
La información Estática: Es generada y almacenada por el propio elemento de red (p.e. un
ruteador almacena su propia configuración).
La información Dinámica: Puede almacenarla el propio elemento, u otro encargado de ello (p.e.
En una LAN cada elemento puede almacenar el número total de paquetes que envía, o un
elemento de la LAN puede estar escuchando y recoger esa información (se denomina Monitor
remoto). Un monitor remoto no puede recoger cierta información propia de un elemento (p.e. El
número de sesiones abiertas).
La información Estadística: Puede ser generada por cualquier elemento que tenga acceso a la
información dinámica en base a dos opciones básicas:
‣ Puede enviarse toda la información dinámica al gestor de red para que realice las
estadísticas.
‣ Si el gestor no necesita toda la información, ésta puede ser resumida por el propio
elemento antes de enviarla al gestor, ahorrando procesamiento en el gestor y generando
menos tráfico en la red.
1.1. AREAS DE LA GESTIÓN DE REDES.
La gestión de redes incursiona en distintos campos cada uno con sus propias peculiaridades,
estos campos son [1,4]:
‣ Gestión de fallos
‣ Gestión de contabilidad
‣ Gestión de la configuración
‣ Gestión de prestaciones
‣ Gestión de seguridad
1.1.1.- GESTIÓN DE FALLOS
La gestión de fallos tiene una gran componente “manual”. Una vez localizado el fallo, los
procedimientos para solucionarlo suelen realizarse por el administrador (desplazarse hasta el
lugar donde está el equipo, sustituir todo o parte, etc.)
La gestión de fallos tiene que ver con situaciones referentes a:
‣ Detección, aislamiento y corrección de fallos
‣ Cuando ocurre un fallo, tan pronto como sea posible:
‣ Determinar exactamente dónde está el fallo.
‣ Aislar el resto de la red, para que pueda seguir operando sin interferencia.
‣ Reconfigurar la red para minimizar el impacto de operar sin el componente averiado.
‣ Reparar o reemplazar el componente averiado para devolver la red al estado inicial
18

Capítulo I. LA GESTION DE REDES.
‣ Distinción entre fallo y error:
‣ Error: Un solo evento (ejemplo, se pierde un paquete)
‣ Fallo: Un funcionamiento anormal que requiere una intervención para ser subsanada
‣ El fallo se manifiesta por un funcionamiento incorrecto (se corta la línea física) o por
exceso de errores (en una línea se pierden muchos paquetes)
En un entorno complejo puede ser difícil diagnosticar los fallos. Principalmente debido a:
1.- Múltiples causas potenciales: Cuando hay múltiples tecnologías, los posibles puntos de fallo
y tipos de fallo aumenta (p.e. En la siguiente figura si falla o tiene muchos errores la comunicación
entre el cliente y el servidor puede ser debido a muchas causas).
2.- Demasiadas observaciones relacionadas: Un solo fallo puede afectar a muchos elementos,
generando mucha información de fallos que obscurecerá la causa real (p.e. En la figura 1.1 el
fallo de la línea de 2 Mb. Afectará a todas las comunicaciones entre los equipos Token-ring y
Ethernet, así como a las comunicaciones telefónicas, o un fallo en un nivel de las comunicaciones
puede causar degradación o fallos en todos los niveles superiores: un fallo en la línea será
detectado como un fallo de enlace por el router y de transporte y aplicación en los equipos).
Figura 1.1.- Gestión de Fallos en una red.
‣ Interferencia entre procedimientos de diagnóstico y de recuperación local:
Procedimientos de recuperación local pueden destruir evidencias importantes de la naturaleza
del fallo, no permitiendo el diagnóstico.
‣ Ausencia de herramientas de prueba automáticas: Las pruebas para aislar fallos son
difíciles y costosas para el administrador.
19

Capítulo I. LA GESTION DE REDES.
1.1.2.- GESTIÓN DE CONTABILIDAD
Consiste en recoger información sobre el uso de los recursos por los usuarios. La información
que se recoge depende mucho de las necesidades de la corporación:
‣ En una red interna puede ser bastante general para saber cuanto usan un recurso cada uno
de los departamentos, y por tanto que porcentaje del costo que les corresponde.
‣ En otros casos (p.e. Sistemas que ofrecen servicios públicos) el uso debe detallarse por
cuenta, proyecto, o individualmente con el objeto de cobrar por el uso de los recursos. En
este caso la información debe ser más detallada y exacta que en el ejemplo anterior.
Los recursos que son objeto de gestión de costos suelen ser:
‣ Recursos de comunicación: LANs, WANs, líneas alquiladas, líneas conmutadas
alquiladas, conmutadores PBXs, etc.
Hardware de computación: Servidores, estaciones de trabajo,...
Sistemas y software: Utilidades software y aplicaciones en servidores, un centro de proceso
de datos.
Servicios: Todos los servicios de información y servicios de comunicaciones comerciales
disponibles.
La información recogida y almacenada depende de las necesidades de la organización. Ejemplos
típicos de información por usuario puede ser:
‣ Identificación de usuario: proporcionada por el generador de una transacción o petición
de servicio.
‣ Receptor: identifica el recurso de red utilizado.
‣ Número de paquetes: cantidad de datos transmitidos.
‣ Nivel de seguridad: Identificación de las prioridades de la transmisión y el
procesamiento.
‣ Sellos temporales: asociados con cada evento de transmisión o procesamiento (p.e.
Comienzo y final de una transacción).
‣ Códigos de estado de la red: Indican la naturaleza de errores o mala utilización
detectados.
‣ Recursos utilizados: Recursos involucrados en una transacción o evento de servicio.
1.1.3.- GESTIÓN DE CONFIGURACIÓN.
Se ocupa de la inicialización, mantenimiento y apagado de componentes individuales y
subsistemas lógicos de la red. Los componentes son tanto recursos físicos (servidores,
ruteadores, etc.) como objetos lógicos de bajo nivel (p.e. Un temporizador de retransmisión de un
protocolo de transporte).
La gestión de configuración puede indicar el proceso de inicialización identificando y
especificando las características del los componentes y recursos que constituyen “la red”.
También se especifican valores iniciales o por defecto para los diferentes atributos, de forma que
los recursos gestionados comiencen a operar en los estados deseados, tengan los valores de
atributos deseados y las relaciones adecuadas con otros componentes de la red.
Durante el funcionamiento de la red, la gestión de configuración es responsable de realizar
cambios en respuesta a comandos del usuario o en respuesta a otras funciones de gestión de red
(p.e., si una función de gestión de prestaciones detecta que el tiempo de respuesta se está
degradando dado a un mal balance de carga, la gestión de configuración puede hacer ajustes
para conseguir el nivel de carga adecuado, o si la gestión de fallos detecta y aísla un fallo, la
20

Capítulo I. LA GESTION DE REDES.
gestión de configuración puede alterar la configuración para recuperar el tráfico por un camino
alternativo).
Las funciones asociadas a la configuración se relacionan a:
Definición de la información de configuración.
Establecimiento y modificación de valores de atributos.
Establecimiento y modificación de relaciones.
Operaciones de inicialización y apagado de la red.
‣ Distribución de software.
Examen de valores y relaciones.
Informes sobre el estado de la configuración.
Las dos últimas son funciones de monitorización. Normalmente se examinan mediante sondeo y
los cambios se notifican mediante informe de eventos.
1.1.3.1.- DEFINICIÓN DE LA INFORMACIÓN DE
CONFIGURACIÓN.
La información de configuración describe la naturaleza y estado de los recursos que forman la red
(tanto físicos como lógicos). Esta información incluye una especificación del recurso y de los
atributos de ese recurso (p.e., nombre, dirección, número de identificación, estados,
características operacionales, versión del software). Esta información (en realidad, toda la
información de gestión) se puede estructurar de diversas formas:
‣ Una sencilla lista estructurada de campos de datos: cada uno almacenando un valor
simple. Un ejemplo es SNMP.
‣ Una base de datos orientada a objetos: cada elemento de la red es representado por
uno o varios objetos. Cada objeto contiene los atributos cuyos valores reflejan las
características del elemento. Un objeto puede tener comportamientos asociados, tales
como notificaciones ante la ocurrencia de ciertos eventos. También se puede definir
herencia de atributos. Un ejemplo es el modelo OSI.
‣ Una base de datos relacional: cada entrada en la base de datos contiene valores que
reflejan las características de un elemento de la red. La estructura de la base de datos
refleja las relaciones entre los elementos de la red. Un ejemplo es Sun Net Manager
(utiliza Sybase).
Aunque la información es accesible por el gestor, normalmente se almacena próxima al recurso
en cuestión (en su agente o en un agente proxy si el recurso no soporta directamente un
agente). Esta función de control de red debe permitir al administrador:
‣ Especificar el rango y el tipo de valores que puede tomar un determinado atributo de un
agente.
‣ El rango puede ser una lista de todos los valores posibles o los valores superior e inferior
permitidos.
‣ Definir nuevos tipos de objetos o tipos de datos, dependiendo del tipo de la base de
datos. Lo ideal sería poder definir estos objetos on-line, en línea, y que se crearan en los
correspondientes agentes y proxies. Sin embargo, en todos los sistemas existentes hoy
en día esta función se realiza off-line, fuera de línea, como parte del proceso de
configuración del elemento de la red, en vez ser posible hacerlo dinámicamente.
21

Capítulo I. LA GESTION DE REDES.
1.1.3.2.- ESTABLECIMIENTO Y MODIFICACIÓN DE VALORES.
Esta función debe permitir al gestor establecer y modificar de manera remota atributos de los
agentes y proxies, con dos limitaciones:
‣ Un administrador debe ser autorizado a realizar la modificación de un atributo en
particular en un agente concreto en un momento concreto (esta es una función de gestión
de seguridad).
‣ Algunos atributos reflejan la “realidad” de un recurso y no tiene sentido que se pueda
modificar (p.e., el número de puertos de un ruteador).
La modificación de un atributo, obviamente, modifica la información de configuración de un
agente. Estas modificaciones, en general, se pueden clasificar en tres categorías:
1.- Actualización de la base de datos: Se cambia un valor en la base de datos del agente sin
que este cambio afecte en nada más a dicho agente (p.e., cambio de la información de contacto:
nombre y dirección de la persona responsable de ese recurso). El agente responde a un
comando de este tipo actualizando la base de datos y enviando una confirmación al gestor.
2.- Actualización de la base de datos que implica modificación del recurso: Además de
cambiar un valor en la base de datos del agente la modificación tiene un efecto sobre el recurso
(p.e., si el atributo de estado de un puerto físico se modifica a disabled, el agente además de
modificar la base de datos, deshabilita el puerto, de tal forma que éste no seguirá activo).
3.- Actualización de la base de datos que implica una acción: En algunos sistemas de gestión
el gestor no dispone de “comandos de acción” directos. En vez de estos comandos, disponen de
determinados atributos en la base de datos de los agentes que cuando se establecen, hacen que
el agente inicie cierta acción (p.e., un ruteador, puede tener un parámetro de reinicialización en
su base de datos. Cuando un gestor autorizado pone a TRUE ese parámetro el equipo se
reinicializará y pondrá el valor a FALSE).
1.1.3.3.- ESTABLECIMIENTO Y MODIFICACIÓN DE RELACIONES.
Una relación describe una asociación, conexión o condición que existe entre recurso o
componentes de la red: topologías, jerarquías, conexiones físicas o lógicas, dominios de gestión
(conjunto de recursos que comparten un conjunto común de atributos o un conjunto de recursos
que comparten la misma autoridad de gestión). La gestión de configuración debe permitir la
modificación, adicción o eliminación de relaciones on-line sin deshabilitar toda o parte de la red.
Ejemplos de este tipo de operaciones pueden ser el permitir al administrador “cortar” una
conexión entre dos nodos, o designar una dirección alternativa o de backup para utilizar en caso
de que el destino primario de una petición de conexión no responda.
1.1.3.4.- INICIALIZACIÓN Y APAGADO DE LA RED.
La gestión de configuración debe incluir mecanismos que permitan al administrador inicializar o
apagar la red o una subred. La inicialización incluye verificar que todos los atributos y relaciones
se han establecido adecuadamente, notificar al administrador que algún recurso, atributo o
relación necesita ser establecido y validar los comandos de inicialización del administrador. El
apagado de la red, requiere disponer de mecanismos para solicitar determinadas estadísticas o
información de estado antes de que finalice la operación de apagado.
22

Capítulo I. LA GESTION DE REDES.
1.1.3.5.- DISTRIBUCIÓN DE SOFTWARE.
La gestión de configuración debe permitir distribuir software a los sistemas finales (servidores,
terminales,...) y sistemas intermedios (puentes, ruteadores,...). Para ello se debe disponer de
facilidades que permitan: solicitudes de carga de software, transmisión de las versiones de
software especificadas y actualización de la configuración de los sistemas.
Además de ejecutables, también se pueden distribuir tablas y otros datos que controlen el
comportamiento de un nodo (p.e., tablas de encaminamiento que requieran intervención del
administrador por motivos de costos, prestaciones o seguridad y que por tanto no puede
calcularlas directamente el propio nodo mediante un algoritmo matemático). Se necesita un
mecanismo de control de versiones de software que permita cargar diferentes versiones de
software o tablas de encaminamiento en base a determinadas condiciones, tal como tasas de
error.
1.1.4.- GESTIÓN DE SEGURIDAD.
La introducción de los ordenadores en las organizaciones, supuso la necesidad de preservar la
seguridad de la información en dos aspectos:
‣ La utilización de sistemas de tiempo compartido obligó a buscar mecanismos de
protección de información dentro del sistema (computer security).
‣ La utilización de redes de ordenadores obligó a buscar mecanismos de protección de
información en su transmisión (network security). Esto es especialmente importante
si los datos atraviesan o están disponibles a través de redes publicas.
La gestión de seguridad en redes se ocupa de estas dos áreas incluyendo, obviamente, la
seguridad del propio sistema de gestión de red:
‣ Privacidad: La información debe estar accesible para lectura sólo a personas
autorizadas. Los accesos incluyen: leer, visualizar, imprimir, o incluso revelar la
propia existencia del objeto.
‣ Integridad: Los recursos deben ser modificables sólo por usuarios autorizados. Las
modificaciones incluyen: escribir, cambiar, cambiar estado, eliminar y crear.
‣ Disponibilidad: Los recursos deben estar disponibles a los usuarios autorizados.
Las funciones de gestión de seguridad son:
‣ Mantenimiento de la información de seguridad.
‣ Control de acceso a los recursos.
‣ Control del proceso de cifrado.
1.1.4.1.- MANTENIMIENTO DE LA INFORMACIÓN DE
SEGURIDAD.
La gestión de seguridad debe seguir la actividad, o intentos de actividad, sobre estos objetos para
detectar y resolver intentos de ataques, o ataques conseguidos. Esto incluye las siguientes
funciones:
‣ Log de eventos.
‣ Monitorización de registros de seguridad.
‣ Monitorización de utilización y usuarios de recursos de seguridad.
‣ Avisos de violaciones de seguridad.
23

Capítulo I. LA GESTION DE REDES.
‣ Recepción de avisos de violaciones de seguridad.
‣ Mantener y examinar logs de seguridad.
‣ Mantener backups, respaldos, de los datos referentes a seguridad
‣ Mantener perfiles de usuarios y utilizaciones para recursos específicos para
permitir la verificación del cumplimiento de las políticas de seguridad definidas.
Los objetos que intervienen: claves, información de autentificación, derechos de acceso y
parámetros operacionales de los mecanismos y servicios de seguridad.
1.1.4.2.- CONTROL DE ACCESO A LOS RECURSOS.
Consiste en la autentificación y autorización de accesos a recursos. Para ello se mantienen
perfiles de usuarios y perfiles de utilización para recursos específicos y se establecen prioridades
de acceso.
1.1.4.3.- CONTROL DEL PROCESO DE CIFRADO.
Cifrado del intercambio de información entre agentes y gestores cuando sea necesario. Incluye la
elección de algoritmos de cifrado y mecanismos de distribución de claves.
1.1.5.- GESTIÓN DE PRESTACIONES.
La gestión de prestaciones tiene dos partes: monitorización y control. Monitorizar consiste en
observar y analizar la actividad de la red. Controlar es realizar ajustes para mejorar las
prestaciones.
Algunas cuestiones que atañen al gestor de la red son:
‣ ¿Cuál es la utilización de la red
‣ ¿Hay un tráfico excesivo
‣ ¿Se ha reducido la productividad a niveles inaceptables
‣ ¿Existen cuellos de botella
‣ ¿Está aumentando el tiempo de respuesta
Para ello hay que monitorizar algunos recursos de la red: Recoger información, analizarla y usar
los resultados del análisis para ajustar los parámetros de la red
Se deben de elegir los indicadores adecuados para monitorizar adecuadamente las prestaciones
de la red.
Los indicadores se pueden dividir en dos categorías:
‣ Medidas orientadas a servicios: Medidas que permiten mantener los niveles de
determinados servicios a satisfacción de los usuarios. Son los más importantes:
‣ Disponibilidad.
‣ Tiempo de respuesta.
‣ Fiabilidad.
‣ Medidas orientadas a eficiencia: Medidas que permiten mantener los niveles de
satisfacción anteriores al mínimo coste posible.
‣ Prestaciones (througtput).
‣ Utilización.
24

Capítulo I. LA GESTION DE REDES.
1.1.5.1.- MEDIDAS ORIENTADAS A SERVICIOS.
‣ Disponibilidad: Porcentaje de tiempo que una red, un dispositivo o una aplicación
está disponible para el usuario.
‣ Tiempo de respuesta: Cuanto tarda en aparecer la respuesta en el terminal del
usuario cuando éste realiza una acción.
‣ Fiabilidad: Porcentaje de tiempo en el que no ocurren errores en la transmisión y
entrega de información.
1.1.5.2.- MEDIDAS ORIENTADAS A EFICIENCIA.
‣ Prestaciones (througtput): La tasa a la que ocurren eventos a nivel de aplicación
(p.e. Transacciones, mensajes, transferencia de archivos).
‣ Utilización: Porcentaje de la capacidad teórica de un recurso (p.e. Un concentrador,
una línea de transmisión, un conmutador) que se está utilizando.
1.2.- ARQUITECTURA FUNCIONAL DE MONITORIZACIÓN.
Los cuatro elementos principales que intervienen en la monitorización son:
1. Aplicación de monitorización: gestiona las funciones de monitorización que son visibles al
usuario, tal como gestión de prestaciones, fallos y costos.
2. Gestor: El módulo de la red que recoge la información del resto de los elementos de la red.
3. Agente: Recoge y almacena información de uno o varios elementos de la red y los envía al
gestor.
4. Objetos gestionados: información de gestión que representa recursos y su actividad.
5. Agente de monitorización: módulo que genera sumarios y análisis estadísticos de la
información de gestión. Si este módulo es remoto al gestor, actúa como un agente y comunica la
información estadística que genera a dicho gestor (véase figura 1.2 y 1.3).
25

Capítulo I. LA GESTION DE REDES.
Figura 1.2.- Arquitectura Funcional de Monitorización.
Figura 1.3.- Arquitectura Funcional de Monitorización (cont.).
26

Capítulo I. LA GESTION DE REDES.
Los módulos funcionales anteriores pueden dar lugar a diversas configuraciones:
(a) La estación que ejecuta la aplicación de monitorización es también un elemento de la
red, y debe gestionarse. Por ello normalmente incluye un Agente y unos Objetos
gestionados (véase figura 1.4).
Figura 1.4.- Estación como elemento de red.
(b) Configuración normal de monitorización de otros elementos de red. El gestor y los
agentes deben compartir el mismo protocolo de gestión y sintaxis y semántica de la MIB
(véase figura 1.5).
Figura 1.5.- Configuración de otros elementos de la red.
27

Capítulo I. LA GESTION DE REDES.
(c) Configuración con agentes que monitorizan el tráfico de una red, monitores remotos o
monitores externos (véase figura 1.6).
Figura 1.6.- Monitores remotos.
(d) Cuando existen elementos que no utilizan el mismo protocolo de gestión que el gestor, se
utilizan proxies (véase figura 1.7).
Figura 1.7.- Proxies.
28

Capítulo I. LA GESTION DE REDES.
1.2.1.- FORMAS DE COMUNICACIÓN DE INFORMACIÓN DE
MONITORIZACIÓN.
La información de monitorización es recopilada y almacenada por los agentes y enviada a uno o
más gestores. Para el envío de dicha información se usan dos técnicas:
‣ Sondeo (polling): El gestor solicita información al agente, que responderá a la
petición.
‣ Informe de eventos (event reporting): La iniciativa de la comunicación es tomada
por el agente, teniendo que estar por tanto el gestor a la espera de información de
este tipo.
Se suelen usar conjuntamente en la monitorización de una red. El énfasis en el uso de uno u otro
dependerá de la propia naturaleza de la red y de los protocolos de gestión utilizados.
1.2.1.1.- SONDEO.
Interacción petición/respuesta iniciada por el gestor. El gestor puede pedir información sobre:
El valor de uno o varios elementos de información. El agente devolverá valores almacenados
en su MIB local. Este tipo de petición puede ser dos tipos:
Específica: Pidiendo el valor de una o varias variables concretas.
Genérica o de búsqueda: Solicitando información que cumpla ciertos criterios de
búsqueda.
Información sobre la estructura de la MIB del agente. Se utiliza para:
Mantener actualizada la información que el gestor tiene de los elementos la red. Para ello se
hace un sondeo periódico.
Conocer la configuración de la red (y sus elementos) que está gestionando
Investigar un área en detalle ante un problema.
Soporte a usuarios: generar informes solicitados por los usuarios o respondes sus preguntas.
1.2.1.2.- INFORME DE EVENTOS.
El agente toma la iniciativa de enviar información al gestor. Se utiliza para:
‣ Comunicar la ocurrencia de eventos relevantes (p.e. Un cambio de estado) o
inusuales (p.e. Un fallo).
‣ Generar un informe periódico al gestor del estado actual de los elementos
gestionados por el agente.
Este sistema de comunicación es útil, sobre todo, para:
‣ Detectar problemas tan pronto como se producen.
‣ Monitorizar objetos que cambian con poca frecuencia de estado (en este caso es más
eficiente que el sondeo).
29

Capítulo I. LA GESTION DE REDES.
1.3.- ARQUITECTURA FUNCIONAL DE CONTROL.
Los cuatro elementos principales que intervienen en el control son:
1. Aplicación de control: gestiona las funciones de control que son visibles al usuario, tal como
gestión de configuración y seguridad.
2. Gestor: El módulo de la envía peticiones de operación al resto de los elementos de la red.
3. Agente: Recibe los comandos de control y actúa convenientemente sobre los elementos de la
red que depende de él.
4. Objetos gestionados: información de gestión que representa recursos y su actividad.
De la información de gestión. Si este módulo es remoto al gestor, actúa como un agente y
comunica la información estadística que genera a dicho gestor (véase figura 1.8).
Figura 1.8.- Modelo Agente-Gestor.
Los módulos funcionales anteriores pueden dar lugar a diversas configuraciones:
30

Capítulo I. LA GESTION DE REDES.
(a) La estación que ejecuta la aplicación de control es también un elemento de la red, y debe
gestionarse. Por ello normalmente incluye un Agente y unos Objetos gestionados véase figura
1.9).
Figura 1.9.- Agente-Modelos Gestionados.
(b) Configuración normal de control de otros elementos de red. El gestor y los agentes deben
compartir el mismo protocolo de gestión y sintaxis y semántica de la MIB.
Figura 1.10.- Agente en red.
31

Capítulo I. LA GESTION DE REDES.
(c) Cuando existen elementos que no utilizan el mismo protocolo de gestión que el gestor, se
utilizan proxies (véase figura 1.11).
Figura 1.11.- Agente Proxy.
1.4.- FORMAS DE COMUNICACIÓN DE INFORMACIÓN DE
CONTROL.
El gestor comienza siempre la comunicación enviando comandos a los agentes. En función del
tipo de comando, puede haber una respuesta del agente o no. Los comandos son generados por
diversos motivos (véase figura 1.12):
‣ Iniciativa del administrador de la red.
‣ Comandos preprogramados:
‣ Periódicos.
‣ Respuesta a eventos o sucesos.
32

Capítulo I. LA GESTION DE REDES.
Figura 1.12.- Formas de Comunicación del control.
1.5.- LAS VLAN (VIRTUAL LOCAL AREA NETWORK).
Una VLAN es una agrupación lógica de dispositivos o usuarios que se pueden agrupar por
función, departamento o aplicación, sin importar la ubicación física del segmento. La
configuración de la VLAN se realiza en el conmutador a través del software (véase figura 1.13).
Las VLAN no están estandarizadas y requieren el uso de software propietario del fabricante
del conmutador.
1.5.1.- CONFIGURACIONES LAN COMPARTIDAS EXISTENTES.
Una LAN típica se configura según la infraestructura física que conecta. Los usuarios se agrupan
según su ubicación en relación con el concentrador al que están conectados y según cómo el
cable se tiende al centro del cableado. El router que interconecta cada concentrador compartido
normalmente proporciona segmentación y puede actuar como corta fuegos de difusión (firewall
broadcast). Los segmentos creados por los conmutadores no lo hacen. La segmentación
tradicional de las LAN no agrupa a los usuarios según su asociación de grupo de trabajo o
necesidad de ancho de banda. Por lo tanto, comparten el mismo segmento y ocupan el mismo
ancho de banda, aunque los requisitos de ancho de banda varían enormemente por grupo de
trabajo o departamento [1, 2, 3,23, 29].
33

Capítulo I. LA GESTION DE REDES.
Figura 1.13.- Las VLAN y los límites físicos
1.5.2.- SEGMENTACIÓN CON ARQUITECTURAS DE
CONMUTACIÓN
Las LAN se dividen cada vez con mayor frecuencia en grupos de trabajo conectados mediante la
espina dorsal (backbone) común para formar topologías VLAN. Las VLAN segmentan
lógicamente la infraestructura física de las LAN en diferentes subredes o dominios de difusión
(broadcast) para Ethernet. Las tramas de difusión (broadcast) se conmutan sólo entre puertos
dentro de la misma VLAN [4, 23,29].
Las primeras implementaciones de VLAN ofrecían una función de asignación de puertos que
establecía un dominio de difusión (broadcast) entre un grupo de dispositivos por defecto. Los
requisitos actuales de la red exigen la funcionalidad de VLAN que cubre toda la red. Este enfoque
de las VLAN permite agrupar usuarios separados por grandes distancias físicas en topologías
virtuales que abarcan toda la red. Las configuraciones VLAN agrupan a los usuarios por
asociación lógica, en lugar de por ubicación física.
La mayoría de las redes actualmente instaladas ofrecen una segmentación lógica muy limitada.
Los usuarios se agrupan normalmente según las conexiones al concentrador compartido y los
puertos de router entre los concentradores. Esta topología brinda segmentación sólo entre los,
que normalmente se ubican en pisos separados, y no entre usuarios conectados al mismo
concentrador. Esto impone restricciones físicas en la red y limita la manera en que los usuarios se
pueden agrupar. Algunas arquitecturas de concentrador compartido tienen cierta capacidad de
agrupación, pero limitan la forma en que se pueden configurar los grupos de trabajo definidos
lógicamente [4, 23, 29].
34

Capítulo I. LA GESTION DE REDES.
1.5.3.- DIFERENCIAS ENTRE LAS LAN CONMUTADAS
TRADICIONALES Y LAS VLAN
En una LAN que utiliza dispositivos de conmutación LAN, la tecnología VLAN es una manera
económica y eficiente de agrupar usuarios de la red en grupos de trabajo virtuales, más allá de su
ubicación física en la red. Algunas de las diferencias principales son las siguientes [3, 4, 23, 29,
30]:
‣ Las VLAN funcionan a nivel de Capa 2 y Capa 3 del modelo de referencia OSI.
‣ La comunicación entre las VLAN es implementada por el enrutamiento de Capa 3.
‣ Las VLAN proporcionan un método para controlar la difusión (broadcast) de red.
‣ El administrador de la red asigna usuarios a una VLAN.
‣ Las VLAN pueden aumentar la seguridad de la red, definiendo cuáles son los nodos
de red que se pueden comunicar entre sí.
Mediante la tecnología VLAN, se pueden agrupar los puertos de conmutador y sus usuarios
conectados en grupos de trabajo lógicamente definidos, como los siguientes:
‣ Compañeros de trabajo en el mismo departamento
‣ Un equipo de producción interfuncional
‣ Diferentes grupos de usuarios que comparten la misma aplicación de red o software
Se pueden agrupar estos puertos y usuarios en grupos de trabajo con un solo conmutador o
conmutador conectados. Al agrupar los puertos y los usuarios a través de múltiples conmutador,
las VLAN pueden abarcar infraestructuras contenidas en un solo edificio, edificios conectados
entre sí o aun redes de área amplia (WAN).
1.5.4.- TRANSPORTE DE LAS VLAN A TRAVÉS DE LAS ESPINAS
DORSALES (BACKBONE)
Lo que es importante en cualquier arquitectura de VLAN es la capacidad para transportar
información de la VLAN entre conmutador interconectados y los ruteador que residen en la espina
dorsal (backbone) corporativa. Estas capacidades de transporte [1, 2, 3]:
‣ Eliminan las fronteras físicas entre los usuarios
‣ Aumentan la flexibilidad de la configuración de una solución de VLAN cuando los
usuarios se desplazan
‣ Proporcionan mecanismos de interoperabilidad entre los componentes del sistema de
espina dorsal (backbone).
La espina dorsal (backbone) normalmente funciona como el punto de reunión de grandes
volúmenes de tráfico. También transporta información del usuario final de la VLAN y su
identificación entre conmutador, ruteador y servidores directamente conectados. Dentro de la
espina dorsal (backbone), los enlaces de alto ancho de banda y alta capacidad se seleccionan
normalmente para transportar el tráfico en toda la empresa.
Los conmutadores y ruteadores son los componentes principales de las comunicaciones de
VLAN (véase figura 1.14). Cada conmutador tiene la inteligencia de tomar decisiones de filtrado y
envío por trama, basándose en las métricas de VLAN definidas por los administradores de red. El
conmutador también puede comunicar esta información a otros conmutadores y ruteadores dentro
de la red.
35

Capítulo I. LA GESTION DE REDES.
Figura.- 1.14 Conmutadores y Ruteadores en VLAN.
Los enfoques más comunes para agrupar lógicamente los usuarios en VLAN diferentes son el
filtrado de trama y la identificación de trama (etiquetado de trama). Ambas técnicas examinan la
trama cuando es recibida o enviada por el conmutador. Basadas en el conjunto de normas
definidas por el administrador, estas técnicas determinan dónde la trama se debe enviar, filtrar o
hacer difusión (broadcast). Estos mecanismos de control pueden ser administrados centralmente
(con software de administración de red) y se implementan con facilidad en toda la red [3, 30].
El filtrado de trama examina información específica acerca de cada trama, se desarrolla una tabla
de filtrado para cada conmutador; esto proporciona un alto nivel de control administrativo porque
puede examinar muchos atributos de cada trama. Según la sofisticación del conmutador LAN,
puede agrupar los usuarios según las direcciones de control de acceso al medio (MAC) de una
estación o tipo de protocolo de capa de red. El conmutador compara las tramas que filtra con las
entradas de tabla, y toma las medidas apropiadas según las entradas. Al principio, las VLAN eran
basadas en filtros y agrupaban a los usuarios según una tabla de filtrado. Este modelo no era muy
escalable, porque cada trama debía referirse a una tabla de filtrado. El etiquetado de trama
asigna de forma exclusiva un identificador de VLAN a cada trama. Los identificadores de VLAN
son asignados a cada VLAN en la configuración de conmutador por el administrador del
conmutador. Esta técnica fue seleccionada por el grupo de estándares del Instituto de Ingeniería
Eléctrica y Electrónica (IEEE) debido a su escalabilidad. El etiquetado de trama está obteniendo
reconocimiento como el mecanismo troncal estándar. En comparación con el etiquetado de trama,
puede ofrecer una solución más escalable para la implementación de las VLAN, que se puede
aplicar a nivel de todo el campus. IEEE 802.1q establece que el etiquetado de trama es la manera
de implementar las VLAN El etiquetado de trama de VLAN es un enfoque que se ha desarrollado
específicamente para las comunicaciones conmutadas. El etiquetado de trama coloca un
identificador único en el encabezado de cada trama a medida que se envía por todo la espina
dorsal (backbone) de la red. El identificador es comprendido y examinado por cada conmutador
antes de enviar cualquier difusión (broadcast) o transmisión a otros conmutadores, ruteadores o
dispositivos de estación final. Cuando la trama sale de la espina dorsal (backbone) de la red, el
conmutador elimina el identificador antes de que la trama se transmita a la estación final objetivo.
La identificación de trama funciona a nivel de Capa de enlace de datos y requiere poco
procesamiento o sobrecarga administrativa.
36

Capítulo I. LA GESTION DE REDES.
1.5.5.- IMPLEMENTACIÓN DE VLAN.
Una VLAN forma una red conmutada lógicamente segmentada por funciones, equipos de
proyectos o aplicaciones, sin tener en cuenta la ubicación física de los usuarios. Cada puerto de
conmutador se puede asignar a una VLAN. Los puertos asignados a la misma VLAN comparten
difusión (broadcast). Los puertos que no pertenecen a esa VLAN no comparten esos dominios de
difusión (broadcast). Esto mejora el rendimiento general de la red. Las siguientes secciones
hacen referencia a tres métodos de implementación de VLAN que se pueden usar para asignar
un puerto de conmutador a una VLAN. Ellos son [3, 4]:
‣ De puerto central
‣ Estática
‣ Dinámica
1.5.5.1.- LAS VLAN DE PUERTO CENTRAL FACILITAN EL
TRABAJO DEL ADMINISTRADOR
En las VLAN de puerto central, a todos los nodos conectados a puertos en la misma VLAN se les
asigna el mismo identificador de VLAN. El gráfico (véase figura 1.15) muestra la pertenencia a la
VLAN por puerto, lo que facilita el trabajo del administrador y hace que la red sea más eficiente
porque:
‣ Los usuarios se asignan por puerto.
‣ Las VLAN son de fácil administración.
‣ Proporciona mayor seguridad entre las VLAN.
‣ Los paquetes no se "filtran" a otros dominios.
Figura 1.15.- VLAN de puerto central
37

Capítulo I. LA GESTION DE REDES.
1.5.5.2.-. VLAN ESTÁTICAS.
Las VLAN estáticas [1, 3, 23, 29] son puertos en un conmutador que se asignan estáticamente a
una VLAN. Estos puertos mantienen sus configuraciones de VLAN asignadas hasta que se
cambien. Aunque las VLAN estáticas requieren que el administrador haga los cambios, este tipo
de red es segura, de fácil configuración y monitoreo. Las VLAN estáticas funcionan bien en las
redes en las que el movimiento se encuentra controlado y administrado (véase figura 1.16).
1.5.5.3.-VLAN DINÁMICAS.
Figura 1.16.- VLAN estáticas
Las VLAN dinámicas [1, 3, 23, 29] son puertos en un conmutador que pueden determinar
automáticamente sus asignaciones de VLAN. Las funciones de las VLAN dinámicas se basan en
las direcciones MAC, direccionamiento lógico o tipo de protocolo de los paquetes de datos.
Cuando una estación se encuentra inicialmente conectada a un puerto de conmutador no
asignado, el conmutador correspondiente verifica la entrada de direcciones MAC en la base de
datos de administración de la VLAN y configura dinámicamente el puerto con la configuración de
VLAN correspondiente. Los principales beneficios de este enfoque son una necesidad de
administración menor en el centro de cableado, cuando se agrega o desplaza un usuario y la
notificación centralizada cuando se agrega un usuario no reconocido en la red. Normalmente, se
necesita una mayor cantidad de administración en un primer momento para configurar la base de
datos dentro del software de administración de la VLAN y para mantener una base de datos
exacta de todos los usuarios de la red (véase figura 1.17).
Figura 1.17.- VLAN dinámicas
38

Capítulo I. LA GESTION DE REDES.
RESUMEN CAPITULO I. LA GESTIÓN DE REDES.
Las empresas se reorganizan continuamente. Como promedio, de 20% a 40% de los empleados
se trasladan físicamente todos los años. Esto hace que sea necesario implementar una serie de
adiciones, desplazamientos y cambios que constituyen uno de los más grandes dolores de
cabeza para el administrador de la red, y también uno de los más grandes gastos relacionados
con la administración de redes. Muchos desplazamientos hacen que sea necesario rehacer el
cableado, y casi todos requieren que se cambien las direcciones de las estaciones y se
reconfiguren concentyradores y ruteador.
Las VLAN ofrecen un mecanismo efectivo para controlar estos cambios y reducir en gran parte el
costo asociado con las reconfiguraciones de concentrador y ruteadores. Los usuarios en una
VLAN pueden compartir el mismo espacio de dirección de red (es decir, la subred IP), sin importar
su ubicación.
Cuando los usuarios en una VLAN se trasladan de una ubicación a otra, siempre que
permanezcan en la misma VLAN y se conecten a un puerto de conmutador, sus direcciones de
red no cambian. Un cambio de ubicación puede ser tan sencillo como conectar un usuario a un
puerto en un conmutador adaptado para VLAN y configurar el puerto del conmutador a esa
VLAN.
Las VLAN representan un importante progreso con respecto a las técnicas basadas en LAN que
se usan en los centros del cableado, porque necesitan menos cambios en el cableado,
configuración y depuración. La configuración del router queda intacta. Cuando simplemente se
debe desplazar a un usuario de una ubicación a otra, esto no crea modificaciones en la
configuración del router, si el usuario permanece en la misma VLAN.
El tráfico de difusión (broadcast) [1, 3, 23, 29] se produce en todas las redes. La frecuencia de
difusión (broadcast) depende de los tipos de aplicaciones, los tipos de servidores, la cantidad de
segmentación lógica y la manera en que se usan estos recursos de red. Aunque las aplicaciones
se han perfeccionado durante los últimos años para reducir la cantidad de difusión (broadcast)
que envían, se están desarrollando nuevas aplicaciones multimediales que producen gran
cantidad de difusión (broadcast) y multidifusión (multicast).
Es necesario tomar medidas preventivas para evitar los problemas relacionados con la difusión
(broadcast). Una de las medidas más efectivas es segmentar de manera adecuada la red, con
corta fuegos (firewalls) de protección que, dentro de lo posible, eviten que los problemas de un
segmento dañen otras partes de la red. Así, aunque un segmento puede presentar condiciones
de difusión (broadcast) excesivas, el resto de la red se encuentra protegido con un firewall,
normalmente proporcionado por un router. La segmentación con corta fuegos (firewalls) brinda
confiabilidad y reduce al mínimo la sobrecarga de tráfico de difusión (broadcast), permitiendo un
mayor rendimiento del tráfico de aplicaciones.
Cuando no se colocan ruteador entre los conmutador, los difusión (broadcast) se envían a cada
puerto del conmutador. Esto normalmente se denomina red plana, donde hay un solo dominio de
difusión (broadcast) para toda la red. La ventaja de una red plana es que proporciona baja
latencia y alto rendimiento, y es fácil de administrar. La desventaja es que aumenta la
vulnerabilidad al tráfico de difusión (broadcast) en todos los conmutadores, puertos, enlaces de
espina dorsal (backbone) y usuarios.
Las VLAN son un mecanismo efectivo para extender los corta fuegos (firewalls) desde los
ruteador a la estructura de los conmutador y proteger la red contra problemas de difusión
39

Capítulo I. LA GESTION DE REDES.
(broadcast) potencialmente peligrosos. Además, las VLAN conservan todas las ventajas de
rendimiento de la conmutación.
Se pueden crear corta fuegos (firewalls) asignando puertos de conmutador o usuarios a grupos
de VLAN específicos dentro de conmutador individuales y a través de múltiples conmutador
conectados. El tráfico de difusión (broadcast) dentro de una VLAN no se transmite fuera de la
VLAN. Por el contrario, los puertos adyacentes no reciben ningún tráfico de difusión (broadcast)
generado desde otras VLAN. Este tipo de configuración reduce sustancialmente el tráfico total de
difusión (broadcast), libera el ancho de banda para el tráfico real de usuarios, y reduce la
vulnerabilidad general de la red a las tormentas de difusión (broadcast).
Cuanto menor sea el grupo de VLAN, menor será la cantidad de usuarios afectados por la
actividad de tráfico de difusión (broadcast) dentro del grupo de VLAN. También se pueden asignar
VLAN basadas en el tipo de aplicación y la cantidad de difusión (broadcast) de aplicaciones. Se
pueden colocar usuarios que comparten una aplicación que produce difusión (broadcast) en el
mismo grupo de VLAN y distribuir la aplicación a través del campus.
El uso de las LAN ha aumentado en forma notable durante los últimos años. Como resultado, en
las LAN a menudo circulan datos confidenciales y fundamentales para el trabajo. Los datos
confidenciales requieren seguridad implementada a través de limitación del acceso. Uno de los
problemas de las LAN compartidas es que son relativamente fáciles de penetrar. Un intruso
puede conectarse a un puerto activo y tener acceso a todo el tráfico dentro de un segmento.
Cuanto mayor sea el grupo, mayores serán las posibilidades de acceso. Una técnica de
administración económica y sencilla para aumentar la seguridad es segmentar la red en múltiples
grupos de difusión (broadcast) que permitan que el administrador de red:
‣ Limite la cantidad de usuarios en un grupo de VLAN
‣ Evite que otro usuario se conecte sin recibir antes la aprobación de la aplicación de
administración de red de la VLAN
‣ Configure todos los puertos no utilizados en una VLAN de bajo servicio por defecto
La implementación de este tipo de segmentación es relativamente simple. Los puertos de
conmutador se agrupan según el tipo de aplicaciones y privilegios de acceso. Las aplicaciones y
recursos de acceso restringido se ubican normalmente en un grupo seguro de VLAN. En la VLAN
segura, el conmutador limita el acceso al grupo. Las restricciones se pueden implementar según
las direcciones de estación, tipos de aplicación o tipos de protocolo.
Figura 1.18.- Seguridad de VLAN.
40